Social Hacking

Social Engineering [ˈsəʊʃl̩ ˌɛndʒɪˈnɪəɹɪŋ] (engl. eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking ['hækɪŋ] (vgl. Hacker).

Geschichte

Eine frühe Form des Social Engineering wurde in den 1980er Jahren mit Phreaking praktiziert. Phreaker riefen unter anderem bei Telefongesellschaften an, gaben sich als Systemadministrator aus und baten um neue Passwörter, mit denen sie schließlich kostenlose Modemverbindungen herstellten.

Grundmuster

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen gescheiterten Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen. Der Angreifer verwirrt sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, den Vorgesetzten stören zu müssen. Unter Umständen hat der Mitarbeiter sogar tatsächlich technische Hilfe angefordert und erwartet bereits einen derartigen Anruf.

Eine bekannte und unpersönliche Variante des Social Engineering ist das Phishing: Fingierte E-Mails mit vertrauenswürdiger Aufmachung fordern den Empfänger auf, auf einer präparierten Webseite geheime Zugangsdaten wie Passwörter für Online-Banking preis zu geben. Das Grundmuster ist ähnlich dem fingierten Telefonanruf, denn auch hier gibt sich der Social Engineer in der Regel als technischer Mitarbeiter aus, der zur Datenüberprüfung oder -wiederherstellung die Geheiminformation benötigt. Anders als dort verfügt der Angreifer hier über nicht viel mehr als die E-Mail-Adresse des Empfängers, was die Attacke weniger persönlich und damit auch weniger wirkungsvoll macht.

Bekämpfung

Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokatisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Generelles Misstrauen zu schüren, würde auch die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen. Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt. Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen. Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden. Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offen gelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen. Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden.

Bekannte Social Engineers

Öffentlich bekannt wurde die Methode vor allem durch den Hacker Kevin Mitnick, der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der Vereinigten Staaten war. Mitnick selbst meinte, Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlüge rein technische Ansätze in Sachen Geschwindigkeit um Längen.

Der für die Computersicherheit tätige Hacker Archangel zeigte in der Vergangenheit, dass Social Engineering nicht nur bei der Offenlegung von Passwörtern wirksam ist, sondern auch bei der illegalen Beschaffung von Pizzen, Flugtickets und sogar Autos funktioniert.

Weitere bekannte Social Engineers sind der Scheckbetrüger Frank Abagnale, Miguel Peñalver, David "Race" Bannon, der sich als Interpol-Agent ausgab, der Grundstücksbetrüger Peter Foster, der Hochstapler Steven Jay Russell und der Hochstapler Gert Postel, der mit einem weiteren Hochstapler, Reiner Pfeiffer, eine Rolle in der Barschel-Affäre gespielt hat.

Literatur

• K. Mitnick, W. Simon: Die Kunst der Täuschung: Risikofaktor Mensch. ISBN 3-8266-0999-9, ISBN 3-8266-1569-7 (zweite Auflage)
• K. Mitnick, W. Simon: The Art of Deception: Controlling the Human Element of Security. engl. ISBN 0-471-23712-4
• K. Mitnick, W. Simon: Die Kunst des Einbruchs. ISBN 3-8266-1622-7
• K. Mitnick, W. Simon: The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers. ISBN 0-4717-8266-1
• [Uwe Baumann, Klaus Schimmer, Andreas Fendel] SAP Pocketseminar "Faktor Mensch - Die Kunst des Hackens oder warum Firewalls nichts nützen" Copyright SAP 2005, [1]
• Cialdini, Robert B.: Die Psychologie des Überzeugens, 5. Auflage, 2008, ISBN 978-3456844787 (eines der Grundlagenwerke zur menschlichen Beeinflussbarkeit und zu Beeinflussungstaktiken, die von Social Engineers eingesetzt werden, siehe auch Persuasive Kommunikation)
• Lardschneider, Michael: Social Engineering: Eine ungewöhnliche aber höchst effiziente Security Awareness Maßnahme. DuD 9/2008 (ISSN print 1614-0702), S. 574-578
• Schimmer, Klaus: Wenn der Hacker zweimal fragt! Wie bereite ich meine Mitarbeiter auf Social Engineering Angriffe vor? DuD 9/2008 (ISSN print 1614-0702), S. 569-573
• Weßelmann, Bettina: Maßnahmen gegen Social Engineering: Training muss Awareness-Maßnahmen ergänzen. DuD 9/2008 (ISSN print 1614-0702), S. 601-604

Weblinks

• computec.ch freie deutschsprachige Dokumente
• Sicherheitskultur im Unternehmen. Umfangreiche Artikelsammlung zur Informationssicherheit, Sicherheitskultur und Security Awareness E-Book als kostenfreier PDF-Download

• Social Engineering Zusammenfassung freies deutschsprachiges PDF Dokument über die Grundlagen von Social Engineering und Gegenmaßnahmen

• Wiele, Johannes: Social Engineering erkennen Artikel in der Fachzeitschrift LANline über Möglichkeiten, als Opfer eine Social-Engineering-Attacke zu erkennen

Wikimedia Foundation.